View
216
Download
0
Category
Preview:
Citation preview
Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de
Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?
18.10.2011
Referent:
Tim Kretschmann Senior System Engineer, CISO
Pallas Security Colloquium
© Pallas GmbH. No distribution without authorization.
Quelle: WEBSITE SECURITY STATISTICS REPORT | JUNE 2012, White Hat Security
64% aller Web-Sites sind angreifbar
© Pallas GmbH. No distribution without authorization.
Doch nicht unser Web-Server…?
Betreiben Sie (komplexe) Web Anwendungen, wie …?
Redaktionssysteme (Typo3, Joomla, WordPress, First Spirit, …)
Online-Shop, geschützte Bereiche
Integration von Back-End-Systeme (Datenbanken, Anbindung Warenwirtschaft wie SAP)
Foren, Guestbooks, etc. für Kundenaustausch/-feedback
Eigenentwicklungen bzw. für Sie angepasste Web-Software
Web applications are the #1 focus of hackers:
Missbrauch des Servers als Botnet-Client
Auslesen der Zugangs- und ggf. Zahlungsdaten
Verteilung von Malware (wie z.B. drive-by downloading)
Generierung von Spam-Mails
Auslesen und Manipulation von (vertraulichen) Inhalten
Darstellung von falschen (schädlichen) Daten
Session Hijacking, Phishing
Weiterleitung auf zwielichtige Angebote / Konkurrent
…
© Pallas GmbH. No distribution without authorization.
Grobe Übersicht über eine Web-Anwendung
SSL schützt nur die Verbindung
Firewall schützt nur das Netzwerk
Die Sicherheit der Daten ist nur so
sicher, wie die Web-Anwendung
und der Web-Server
Die meisten Sicherheitslücken sind
in den Anwendungsschichten und
nicht auf der Ebene
Netzwerk/Betriebssystem/Datenbank
Im Verhältnis wird 90% in
Netzwerk/Server-Sicherheit und
10% in die Anwendungssicherheit
investiert aber 75% der Angriffe
erfolgen über die Anwendung!
Quelle Grafiken: IBM, Shawn Miller
© Pallas GmbH. No distribution without authorization.
Beispiele aus Praxis
Zahlen aus Pallas Web Application Tests (Auswertung der letzten 10 Tests):
9 von 10 Web-Sites haben eine Sicherheitslücke (80% Schwachstellen mit hohem Risiko)
Top 8 der Sicherheitslücken
– XSS (90%)
– Anwendungsfehler (60%)
– Auflisten Verzeichnis (40%)
– Unerwünschte Datenpreisgabe (40%)
– Datenbankabfragen / -manipulation SQLi (30%)
– Gespeicherte Inhaltsmanipulation (30%)
– Probleme beim Session Handling (30%)
– CSRF (20%)
Vorfälle bei von Kunden verwalteten Web-Servern *
DriveByDownload – VeralteteTypo3-Erweiterung lädt verseuchtes JavaScript bei Ansehen der Seite
PHPBotNetClient – durch veraltetes PhpMyAdmin wird Web-Server zum BotNetClient
DoS – Web-Site wird innerhalb 10 Minuten rund 250.000-mal von einer einzigen IP-Adresse abgefragt
Virus – durch veraltetes Joomla Virus war es möglich ein Virus als Grafik zu verbreiten
* Die aufgeführten Systeme wurden durch Kunden verwaltet und nicht durch Pallas. Alle Angriffe konnten
* durch Pallas proaktiv detektiert werden.
© Pallas GmbH. No distribution without authorization.
Error Handling: JSP verrät SAP Account
BI ABAP Release: 701 - Patch level: 0009 -
Description: SAP Business Warehouse (****) -
Additional info: - Production mode: true
Java VM IBM J9 VM - IBM Corporation - 2.3
Operating System Linux - amd64 - 2.6.16.60-0.76.8-smp
…
Request URL http://******.de:55000
Server_URL_Prefix http://*****.de:55000
THEME_NAME ****KUNDE****
User ****LOGIN*****
© Pallas GmbH. No distribution without authorization.
PHP file inclusion: Konfig, Passwörter, … lesen
www.pallas.com/download/testm2.txt:
<?php system("cat /var/www/htdocs/.../local.php | sed -e 's/$/<br>/'"); ?>
© Pallas GmbH. No distribution without authorization.
Wie können wir Sie unterstützen?
Quelle: IBM, Thomas Neudert
© Pallas GmbH. No distribution without authorization.
Der Web-Application-Security-Scan
Input von Kunden
– URL, ggf. Zugangsdaten der verschiedenen Berechtigungsebenen
– Programmiersprache, Datenbank sind egal
Vorgehen
– Sichtung der Anwendung (von außen und ggf. innen)
– Parametrisierung des Scans
– Scan der Anwendung mit Profi-Tool IBM AppScan
– Auf Wunsch: händische Kontrolle der Konfiguration WebServer, Anwendung, Datenbank etc.
– Bewertung der Ergebnisse und Bericht (auch auf Deutsch!)
– Maßnahmen-Vorschläge
– Ggf. Präsentation
Tool-Einsatz
– IBM AppScan: sehr aktuelle und vollständige Angriffsvektoren, gut erweiterbar, gut
parametrisierbar, aber sehr mächtig und komplex
– Freie Tools (wie W3AF, SkipFish, arachni, sqlmap,… ): unvollständige Erkennungen bekannter
Sicherheitslücken, sehr viele false-positive, Einsatz bei Pallas: nur für Spezialfälle vgl. http://sectooladdict.blogspot.de/2012/07/2012-web-application-scanner-benchmark.html
Recommended